Hoe je veilig en verantwoord kwetsbaarheden kunt melden

Ontdek je een zwakke plek in een ICT-systeem van PTH Groep? Meld die dan bij ons. Zo kunnen wij maatregelen treffen. Dit heet Coordinated Vulnerability Disclosure (voorheen Responsible Disclosure).

Bijdragen aan informatiebeveiliging

Het doel hiervan is om bij te dragen aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden met de eigenaren te delen. Als eigenaar van die systemen kunnen wij dan kwetsbaarheden verhelpen vóórdat deze actief misbruikt kunnen worden door derden. Natuurlijk doen wij er alles aan om te zorgen dat onze systemen veilig zijn en dat de data niet misbruikt kan worden. Ondanks deze inspanningen erkennen we ook dat perfecte informatiebeveiliging bijna onmogelijk is. Kwetsbaarheden kunnen zich daarom, zonder dat wij daar zicht op hebben, voordoen in onze systemen. 

Laat het ons weten als je een zwakke plek in een van onze systemen hebt gevonden. Ook hier geldt dat wij goed willen samenwerken en onze systemen willen verbeteren om problemen op te lossen en onze processen, diensten en systemen weerbaarder te maken tegen privacy- en beveiligingsproblemen.

Melden van een beveiligingsprobleem

Wij vragen aan jou:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk (laten) oplossen. Vaak is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkelder kwetsbaarheden kan meer informatie nodig zijn.
  • Laat je contactgegevens (e-mailadres en/of telefoonnummer) achter zodat we contact met jou kunnen opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid. Mail daarvoor naar info@ pthgroep.nl
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • We willen graag leidend zijn bij publicaties over zaken die je in onze systemen of diensten aantreft en/of rapporteert. Wil je hierover publiceren of op een andere manier informatie hierover delen? Overleg dan vooraf met ons.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen, deel geen gegevens of details met andere partijen behalve PTH Groep, en wijzig of verwijder geen informatie.
  • Voer geen aanvallen uit op de fysieke veiligheid met behulp van social engineering, ontzegging van diensten of spammen van applicaties van derden.
Beveiligingsproblemen behandelen

Heb je een melding gedaan dan behandelen wij deze als volgt:

  • Als je bovenstaande richtlijnen hebt gevolgd, neemt PTH Groep geen juridische stappen wegens jouw melding van het betreffende probleem.
  • Binnen drie werkdagen reageren we met een ontvangstbevestiging.
  • Binnen één werkweek stellen we je op de hoogte van onze beoordeling en vervolgacties.
  • Wij informeren jou als melder wanneer het probleem is opgelost.
  • Wij lossen het beveiligingsprobleem zo snel mogelijk op. Daarbij streven we ernaar je op de hoogte te houden van de voortgang. Voor het oplossen van het probleem zijn wij vaak wel mede afhankelijk van toeleveranciers.
  • PTH Groep bepaalt of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.
  • Jouw melding is vertrouwelijk. We delen jouw persoonlijke gegevens niet zonder jouw toestemming met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.
Ameland
Inkooporganisatie Pompebled
Hanze University Of Applied Sciences Logo
TRIP Logo NL Zwart RGB
SPOT GRONINGEN Rechts Pos
Logo Tytsjerksteradiel RGB
Logo Blauw Witte Achtergrond
Logo STERTIL BW 72
Windesheim Logo ZG RGB DEF
VRF Logo Blauw
Gem Leeuwarden
Kon.Damstra Groep '20
Logo Pantone 7584 U
Lg Saxion Rgb
Flexsupport Logo (Groot)
Veenstra Fritom
St Vitus Parochiezegel
ELAN Logo Blok Ronding RGB
PCBO Logo Slogan Klein
FVM Logo
JR SH LOGO BL RGB
Liudger (1)
Logo 8KTD Transparant
Neushoorn Leeuwarden
Solidd Liggend
NP3 Info
LOGO CVO FC
Logo CBS De Opdracht
Logo SVPO RGB Algemeen
Noventa (1)